FIREWALLS

INTRODUCCION

Un firewall es un sistema de seguridad que implementa una política de control de acceso entre
dos o más redes; restringe el acceso de usuarios externos a una red interna y de usuarios internos
al exterior, por lo que siempre su configuración siempre se encontrará ligada a la política de
seguridad de la compañía. Estas políticas de seguridad deberán de prevenir cualquier acceso no
autorizado a la misma como pueden ser los hackers (principalmente si se encuentra conectados a
redes publicas como puede ser Internet) usuarios de una misma corporación no tengan acceso a
ciertos recursos del sistema. Si usamos firewalls como pasarela a Internet éste podrá examinar el
contenido y poseer la capacidad de decidir si es aceptable o no y si lo retransmitirá a su
destinatario. Para poder ver y configurar todas estas cosas se podrán monitorizar usando sus
alarmas y logs, y que deberemos siempre de vigilar ya que los firewalls no son 100% seguros y
podemos encontrarnos con que el firewall haya sido violado.

Esquema de una red de computadoras que utiliza un Firewall

Aparte de cumplir una función de check-point que preserva la Intranet restringiendo la entrada de
usuarios en puntos controlados, los firewalls proveen otras funciones:
 Servicio Network Address Translator (NAT): permite que un servidor que se encuentre en
la Intranet se presente en Internet con un número IP válido sin necesidad de
reconfigurarlo.
 Prevenir de ataques
 Dividen la red en zonas con disitintas necesidades de seguridad
 Monitorización del uso de Internet en cuanto a anchos de banda, problemas de saturación
Dependerá del tipo de firewall que usemos, algunos de ellos solamente permitirán el trafico de
correo a través de ellos para proteger la red de cualquier a través del correo. Otros son menos
restrictivos y bloquean servicios que son vulnerables. Todos los firewalls protegen contra "logins"
sin autorización., con esto prevenimos ataques en máquinas y software de nuestra red. Algunos
firewalls avanzados bloquean el tráfico de fuera a dentro, permitiendo a los usuarios del interior
comunicarse libremente con los usuarios del exterior. Podemos administrar un control de acceso;
esto se traduce en implementar políticas que permitan el acceso a algunos servidores y a otros no.
También nos permite perfeccionar el control de la seguridad en cuanto a su centralización, pues
además de todo el subsistema de auditoria podríamos concentrar todo el software de seguridad
en un punto central en lugar de implementarlo en cada hosts.

USO Y DISEÑO
Cuando se toma la decisión de instalar un firewall, la empresa que lo adquiera tiene que saber
realmente los servicios que necesita teniendo en cuenta los puntos vulnerables de la red, los
servicios que realiza la empresa a través de la red.
Debemos de tener muy en cuenta una serie de aspectos:
 Tiene que quedar bien definida la política de seguridad que se quiere llevar a cabo, que
puntos dejaremos que se acceda cuales no, ya que una de dos:
 Todo lo que no esté específicamente permitido se negará. Opción más segura.
 Todo lo no es específicamente negado se permite No es muy usada ya que no se
recomienda su uso en redes con conexión a Internet (que son la mayoría).
 Determinar el nivel de vigilancia, redundancia y control. Estableciendo un nivel de riesgo
aceptable ya que como indicamos antes la efectividad de los firewall no es del 100%.
Decidir que tráfico dejaremos pasar y cual no.
 Financiación. Cada empresa tiene sus necesidades y no tiene porque comprar un firewall
potente de última generación; dependiendo de las necesidades se adquirirá un tipo de
firewall u otro, dependiendo de múltiples factores. El costo del firewall va en función de
los servicios a filtrar y de la tecnología a emplear.
Aislamiento de Internet. Aislar red privada de Internet, restringiendo el acceso su red sólo a
ciertos servicios, a la vez que analiza todo el tráfico que pasa a través de él. Si una red de una
empresa se encuentra conectada a Internet, entonces todos los host pueden acceder a direcciones
en el exterior y pueden ser igualmente accedidos desde fuera, e aquí donde radica todo el peligro
exponiéndose a todo tipo de ataques, con que uno de los host sea accedido toda la red será
vulnerable. El firewall tendrá que permitir aquellos servicios que se consideren como seguros.
Cuello de botella. El firewall se constituye en un cuello de botella prohíbe aquellos servicios
vulnerables; y sirve de protección ante algunos tipos de ataques. Se busca concentrar la
administración y monitorización de la seguridad de la red en un solo punto en vez de intentar
proteger a fondo cada una de las máquinas de la red. La mejor estrategia para la seguridad global
hará uso de ambos. Un firewall alertará cuando detecte intentos de penetración en su red o
tentativas de enviar información desde ella a través de troyanos.
Auditoria y registro de uso. Con el firewall podremos recopilar información sobre el uso de la red
ya sea en el interior como desde el exterior. Con todos estos datos, podremos observar el tipo de
tráfico, las horas de mayor carga de trabajo, el ancho de banda consumido.
Seguridad de contenidos. Los firewall son vulnerables frente a virus y la esteganografía. Aunque
actualmente poseen filtros para detectarlos aunque por el contrario el consumo de recursos es
muy elevado y no puede ofrecer una protección 100% segura ante estos peligros.
Autenticación. La determinación de la identidad de las personas o entidades que acceden a la red
suele realizarse mediante nombres de usuario y contraseñas, aunque no es una técnica muy fiable
es por eso que algunos cortafuegos permiten autenticarse utilizando métodos sofisticados,
basados en tarjetas inteligentes, contraseñas de un solo uso, llaves hardware, etc. Con la función
ya mencionada antes de traducción de direcciones de red NAT (Network Address Translation)
podremos ocultar el rango de direccionamientos internos de la empresa cara al exterior,
realizando una traducción de direcciones.

CARACTERISTICAS
Íntimamente relacionado con lo comentado anteriormente en referencia a su uso un firewall
presentará una serie de características básicas:
1. Política de seguridad. Como indicamos anteriormente son los principios en los que se debe
basar el diseño del sistema de seguridad. Nos encontraremos con:
 Política principal. Todo aquello que no está expresamente permitido está prohibido.
 Política de diseño. Cuyo objetivo es la minimización y simplicidad.
 Política de escepticismo: Tener presenta el desarrollo de nuevas técnicas y que los firewall
no son seguros 100%.
2. Restricciones de día y hora. Política de seguridad varía en función del tiempo.
3. Autentificación de usuarios. La dirección IP del host origen puede ser suplantada especialmente
por hosts que forman parte de la misma red. Además, La mayoría de firewalls a nivel de aplicación
soportan la autenticación de usuarios para algunos servicios de red. Para ello, el firewall
interrumpe la conexión, solicitando autentificación, pero la mayoría de protocolos de servicio de
red no toleran dicha interrupción incluso protocolos como el correo electrónico o los grupos de
noticias no establecen una conexión directa con el usuario. Pero los firewall realizan funciones de
autenticación son Telnet, FTP, servicios X11,http...Mecanismos:
 son contraseñas convencionales. No recomendable en Internet al poder ser interceptadas.
 tarjetas inteligentes. Las tarjetas inteligentes verifican la identidad de un usuario
devolviendo una respuesta única basada en un número aleatorio, que proporciona el
firewall. Los usuarios responden introduciendo el número en un dispositivo autentificador,
que calcula la respuesta apropiada.
 servicios S/Key.
4. Registro de operaciones. Los firewall pueden recoger datos sobre el trafico de datos, recogerá
como mínimo los siguiente datos:
 Filter Information. Actuación del filtro y que adaptador lo hizo
 Local Information. Dirección IP de destino, puerto.
 Packet Information. Encabezamiento e información del paquete
 Service Information. Fecha y hora
 Remote Information. Dirección IP, puerto y protocolo del intruso
Podemos hacer así diversos estudios con estos datos facilitados por el firewall.
5. Canalización. Se trata de combinar múltiples servicios de aplicación en una única conexión.
Algunos ataques usan esta técnica para disfrazar un servicio no autorizado como servicio
autorizado. También permitirá dos sitios de una compañía compartir servicios en Internet que no
serían autorizados normalmente a través del mismo.
6. Interfaces. Uno de los mayores riesgos será el error humano del administrador del firewall. Pero
con una interfaz fácil de utilizar y con un número mínimo de opciones de configuración se reduce.
Clases de interfaz del administrador de firewalls:
 Administración basada en ficheros de texto. Es la extendida, con ello editamos un archivo
donde hay parámetros de configuración específicos. Usado en sistemas UNIX
tradicionales, ofrece una interfaz de control a bajo nivel. La gran desventaja es que es
mucho más fácil cometer errores.
 Administración basada en menús de texto. la probabilidad de producirse errores
disminuye (aunque sigue existiendo) pero proporciona menor capacidad de control.
 Administración basada en GUI. Interfaz gráfica facilitan la gestión, es fácil de usar y no es
tan susceptible a errores como las anteriores.
7. Control de carga. Existe en muy pocos firewalls, establecemos limitaciones al número de
conexiones simultáneas con un host o una red de hosts que puede haber activas.
8. Correlación de direcciones. Las empresas en sus redes privadas usaban cualquier dirección pero
con el auge de Internet estás ya no eran validas un de las soluciones fue que el firewall
correlacionara direcciones origen legales con direcciones de Internet legales en el momento que
abandonan la intranet interna. Realmente no es su función pero dada su posición en la
arquitectura de la red puede resultar de gran utilidad.

TIPOS
Podemos distinguir tres tipos fundamentales de firewalls, en función al nivel en el que se
encuentren:
 Filtrado de paquetes. Analizará la información de los paquetes IP antes de permitirles el
acceso. Tomará los paquetes IP y les aplicará unas reglas de filtrado que se aplicará a los
paquetes de forma secuencial ya que si el paquete es aceptado por uno de ellos pasará al
sistema, mientras que si no es así se le aplicará el siguiente filtro; Se implementa mediante
un router con 2 interfaces de red(interior, exterior), pudiendo establecer filtros en los
puertos.
Algunos routers utilizan el bit de ACK del paquete IP para el reconocimiento de la
conexión, si está a 1: el paquete está esperando la respuesta de otro paquete anterior que
hemos lanzado nosotros. Con esto los firewalls permiten pasar cualquier tipo de
información iniciada por una maquina interna. El firewall va a contener en su interior una
lista de filtros a aplicar. Estos filtros. Como es obvio, el último filtro no va a permitir el
acceso a nada.
 Pasarelas a Nivel de red. Basadas en el control de las conexiones TCP, por un lado reciben
las peticiones de conexión a un puerto TCP y por el otro se establecen las conexiones con
el destinatario deseado si se han cumplido las restricciones de acceso establecidas. Suele
usarse en el tratamiento de conexiones salientes.
  Pasarelas a nivel de aplicación. Sistema seguro, ya que no necesita utilizar complicadas
listas de acceso y centraliza en un solo punto la gestión del servicio, establecemos una
puerta de acceso para cada servicio estableciendo sobre ella los criterios de control que
mejor nos convengan. Una vez sobrepasada la puerta, puede ocurrir que la propia
pasarela ofrezca el servicio de forma segura o que se establezca una conexión con un
ordenador interno que realmente ofrezca el servicio, teniendo a éste último configurado
para aceptar conexiones tan solo de dentro a afuera.

VENTAJAS

 Establece perímetros confiables.

 Protege de intrusiones.- El acceso a ciertos segmentos de la red de una organización sólo
se permite desde máquinas autorizadas de otros segmentos de la organización o de
Internet.
 Protección de información privada.- Permite definir distintos niveles de acceso a la
información, de manera que en una organización cada grupo de usuarios definido tenga
acceso sólo a los servicios e información que le son estrictamente necesarios.
 Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la
comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de
seguridad.

LIMITACIONES

Las limitaciones se desprenden de la misma definición de firewall: filtro de tráfico. Cualquier tipo
de ataque informático que use tráfico aceptado por el firewall o que sencillamente no use la red,
seguirá constituyendo una amenaza. La siguiente lista muestra algunos de estos riesgos:

 Un firewall no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él.
 El firewall no puede proteger de las amenazas a las que está sometido por ataques
internos o usuarios negligentes. El firewall no puede prohibir a espías corporativos copiar
datos sensibles en medios físicos de almacenamiento (discos, memorias, etc.) y sustraerlas
del edificio.
 El firewall no puede proteger contra los ataques de ingeniería social.
 El firewall no puede proteger contra los ataques posibles a la red interna por virus
informáticos a través de archivos y software. La solución real está en que la organización
debe ser consciente en instalar software antivirus en cada máquina para protegerse de los
virus que llegan por cualquier medio de almacenamiento u otra fuente.
 El firewall no protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico
esté permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios
que se publiquen en Internet.

ARQUITECTURAS
La gran ventaja de los firewall es que no hace falta realizar ningún cambio en las aplicaciones del
cliente y el servidor ya que trabajan en las capas IP y TCP, que son independientes de los niveles
de aplicación, y solo operan con este tipo de información. Pero en las implementaciones de los
filtros de paquete, el número de reglas puede ser limitado y ciertos protocolos como el UDP y RPC
no pueden filtrarse con efectividad. Para solucionarlo usaremos barreras de protección que
operan en las capas superiores del modelo OSI y tienen información completa. Existen varios
métodos para construir una barrera de protección:
 Firewall como servidor bastión. El firewall en este caso es un servidor de barrera de
protección que es determinante para la seguridad en la red. Se gestionará a través de
monitor en el que:
 la seguridad del sistema y del software del servidor debe revisarse con
regularidad.
 es preciso observar los registros de acceso en busca de cualquier ”agujero” de
seguridad y de un intento de asalto al servidor ya que al estar conectados a una
red pública como Internet siempre es más vulnerable
La distribución más simple: el servidor es el único punto de entrada para el tráfico de una
red externa. El firewall es determinante para la seguridad de la red interna, colocaremos
línea de defensa entre la red externa no confiable y la red interna mediante un router de
selección enrutando todo el tráfico hacia el bastión, de tal forma que el router para que
envíe hacia el firewall todo el tráfico recibido de las redes externas para la red interna
aunque antes de enviar el tráfico hacia este servidor, el router aplicará las reglas de filtro
prefijadas en el tráfico del paquete y solo pasará aquellos paquetes que las cumplan el
resto se descartarán. Así un intruso necesita entrar primero en el router de selección y, si
lo logra, debe enfrentarse con el firewall que mediante funciones a nivel de aplicación
determinará si las solicitudes hacia y desde la red externa se aceptarán o negarán.
En el router de selección tablas de enrutamiento debe configurarse para enviar el tráfico
externo al firewall por lo que las tablas necesitan estar protegidas contra las invasiones y
los cambios no autorizados:
 Existe el peligro que los paquetes no pasen por le firewall.
 Si responde a los mensajes ICMP de redirección, los intrusos podrá enviar falsos
mensajes de ICMP. Por lo tanto, debe inhabilitarse la respuesta a los mensajes
ICMP de redirección.
 Eliminar los servicios de red innecesarios: ARP, redirecciones ICMP, ARP
apoderado, MOP, mensajes ICMP no alcanzables, TELNET
 Utilizar el enrutamiento estático.
 Asegurarse que los demonios “routed” y “gated” no se encuentren en ejecución ya
que si no propagaremos las rutas.
 Indicar en la tabla de caché ARP la señalización al firewall ya que las tablas ARP de
entrada se construyen de manera dinámica y expiran después de un tiempo
determinado. Por lo que deberemos de hacerlo de forma manual.
 Firewall como servidor de bastión con dos interfaces de red. Una interfaz está conectada
a Internet y la otra interfaz lo está a la propia red en el que uno de los puertos del router
está conectado a la red interior y el otro lo está a Internet. El router debe configurarse
para:
 Enviar todo el tráfico recibido de Internet para la red interna hacia la interfaz de
red interior del bastión.
 El router aplicará sus reglas de filtro de paquetes antes de enviarlo al firewall
De esta forma un intruso debe penetrar primero en el router y, si lo logra, se enfrentará al
firewall. El servidor en Intenet es el router y una de las interfaces de red del firewall. En la
red exterior forma una zona desmilitarizada DMZ que tiene dos conexiones de red de tal
forma que si se utiliza una red Ethernet o token ring podemos monitorizar el tráfico de la
red y tener acceso a los datos delicados. Ventaja: el firewall no se puede ignorar al atacar
las tablas de enrutamiento de los routers, el tráfico de la red debe pasar por este firewall
para llegar a la red interior.

 De dos bases. Un firewall con dos interfaces de red que asilan la red interna de Internet
bloqueando por completo cualquier tráfico IP entre las redes no autorizado.
Configuraciones y peligros a tener en cuenta:
 Si estos servicios se ejecutan en el anfitrión, configuraremos agentes emisores
para la transmisión de servicios de aplicación.
  Podemos permitir que los usuarios se conecten al anfitrión de dos bases y después
tengan accesos a los servicios externos desde la interfaz de red externa del
anfitrión.
 Si se usan los emisores de aplicación, el tráfico de la aplicación no puede cruzar la
barrera, excepto cuando emisor de aplicación se ejecute y se configure en el
servidor de barrera de protección.
 Si se autoriza a los usuarios conectarse en forma directa a la barrera de protección
hay que porque la barrera es el punto central de la conexión entre la red externa y
la interna imaginemos que el usuario selecciona una contraseña fácil de adivinar la
zona de riesgo quizá se extienda a la red interna
 Podemos rastrear las conexiones no autorizadas a la barrera, pero si los usuarios
se conecten en forma directa a la barrera lo tomará como una brecha potencial de
seguridad.
La mayoría de estas configuraciones están montadas sobre máquinas UNIX.

 Dos firewall y dos DMZ. Ambas interfaces de los firewalls se encuentran configuradas.
Podemos distinguir 4 zonas de red: red interna: red exterior, red privada y red interior. La
red privada se encuentra entre los firewalls interior y exterior, pudiendo colocar
servidores en la red privada y situado los más delicados detrás del firewall interior o bien
tener la red privada como una segunda zona de buffer o DMZ interior Si queremos
proporcionar acceso completo a una gran variedad de servicios puede proveer ciertos
servidores de sacrificio en la DMZ exterior en los que los firewalls no deben confiar. El
router tras aplicar reglas de filtraje de selección enviará todo el tráfico recibido desde
Internet a la red interna a través del firewall interior, de este modo los intrusos tendrán
que enfrentarse con el router y son el firewall exterior. Es recomendable que cada firewall
lo administre un grupo diferente responsabilidad de un grupo administrativo diferente
(compartiendo la información) para subsanar errores humanos Otra configuración de red
se obtiene al usar dos firewalls pero con una interfaz , un segundo router (usen rutas
estáticas) llamado el ”ahogador” se dispondrá entre la DMZ y las redes interiores.
Podemos realizar distintas configuraciones que surgen de su combinación.
BIBLIOGRAFIA
 http://www.gifweb.com/firewall.htm
 http://es.wikipedia.org/wiki/Cortafuegos_%28inform%C3%A1tica
%29+firewall&cd=12&hl=es&ct=clnk&gl=bo
 http://www.abits.com.mx/Productos/firewall.htm